Приложение. Приказ Межрегионального операционного управления Федерального казначейства от 29.12.2020 N 482 "О внесении изменений в приказ Межрегионального операционного управления Федерального казначейства от 30.09.2020 N 351 "Об утверждении документов по обработке и защите персональных данных в Межрегиональном операционном управлении Федерального казначейства"

Приложение
к приказу Межрегионального операционного УФК
от 29 декабря 2020 г. N 482

Приложение N 3

УТВЕРЖДЕНЫ
приказом Межрегионального операционного УФК
от 30 сентября 2020 г. N 351

Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и локальными актами Федерального казначейства и Межрегионального операционного управления Федерального казначейства

I. Общие положения

1.1. Настоящие правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и локальными актами Федерального казначейства и Межрегионального операционного управления Федерального казначейства (далее - Правила) определяют процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, основания, порядок, методы проведения внутреннего контроля соответствия обработки персональных данных субъектов персональных данных требованиям к защите персональных Межрегиональном операционном УФК.

1.2. Правила распространяются на деятельность работников Межрегионального операционного УФК, включенных в состав комиссии по осуществлению внутреннего контроля соответствия обработки персональных данных требованиям, предусмотренным Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных", утвержденный приказом Межрегионального операционного УФК (далее - Комиссия по осуществлению внутреннего контроля).

1.3. Требования к защите персональных данных при их обработке установлены:

- Указом Президента Российской Федерации от 30 мая 2005 г. N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела";

- постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";

- постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".

II. Методы и способы осуществления внутреннего контроля Межрегионального операционного УФК соответствия обработки персональных данных установленным требованиям

2.1. Внутренний контроль Межрегионального операционного УФК соответствия обработки персональных данных установленным требованиям осуществляется путем проведения плановых и внеплановых проверок деятельности структурных подразделений Межрегионального операционного УФК, осуществляющих обработку персональных данных, либо имеющих доступ к персональным данным, а также деятельности структурного подразделения, ответственного за обеспечение защиты персональных данных, организационными мерами и специальными техническими средствами защиты информации, в том числе криптографическими.

2.2. Методом проведения внутреннего контроля Межрегионального операционного УФК соответствия обработки персональных данных установленным требованиям является тематическая проверка деятельности структурных подразделений Межрегионального операционного УФК.

2.3. Способами проведения внутреннего контроля Межрегионального операционного УФК соответствия обработки персональных данных установленным требованиям являются сплошная или выборочная проверка деятельности структурных подразделений Межрегионального операционного УФК.

2.4. При осуществлении внутреннего контроля соответствия обработки персональных данных установленным требованиям предметами внутреннего контроля являются документы, регламентирующие организацию деятельности по обработке персональных данных, процессы и операции, осуществляемые структурными подразделениями Межрегионального операционного УФК и другие документы.

III. Организация и проведение внутреннего контроля соответствия обработки персональных данных установленным требованиям

3.1. Организацию осуществления тематических проверок, установленных настоящими Правилами, обеспечивает Комиссия по осуществлению внутреннего контроля.

Тематические проверки соответствия обработки персональных данных установленным требованиям осуществляются работниками Межрегионального операционного УФК, включенными в состав Комиссии по осуществлению внутреннего контроля.

Председатель Комиссии по осуществлению внутреннего контроля данных инициирует тематические проверки Межрегионального операционного УФК путем издания приказа о проведении тематической проверки на основании годового Плана проведения проверок соответствия обработки персональных данных, утвержденного Комиссией по осуществлению внутреннего контроля или на основании поступившего письменного обращения субъекта персональных данных или его представителя о нарушении правил обработки персональных данных данного субъекта персональных данных (внеплановые проверки).

В проверке не могут принимать участие работники Межрегионального операционного УФК, включенные в состав Комиссии по осуществлению внутреннего контроля, имеющие заинтересованность в ее результатах.

3.2. Проверка осуществляется в соответствии с программой тематической проверки, утвержденной председателем Комиссии по осуществлению внутреннего контроля до начала проведения проверки.

В ходе осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям могут быть проверены следующие вопросы:

1) Обеспечение разграничения доступа лиц, допущенных к обработке персональных данных, к различным персональным данным.

2) Обеспечение доступа субъектов персональных данных, к ознакомлению с документами и информацией, содержащих их персональные данные.

3) Закрепление ответственности должностных лиц за обеспечение защиты персональных данных.

4) Соблюдение мер по исключению несанкционированного, в том числе случайного, доступа к персональным данным посторонних лиц, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.

5) Осуществление учета лиц, допущенных к работе с персональными данными в информационной системе.

6) Соблюдение требований по осуществлению обработки персональных данных работниками Межрегионального операционного УФК только в служебных помещениях Межрегионального операционного УФК и на оборудовании, включенного в состав информационной системы персональных данных.

7) Иные вопросы.

При необходимости, а также исходя из конкретных обстоятельств проведения проверки, программа проверки может быть изменена в ходе проверки.

IV. Оформление и реализация результатов тематических проверок соответствия обработки персональных данных установленным требованиям

4.1. По результатам каждой тематической проверки Комиссией по осуществлению внутреннего контроля проводится заседание.

По решению председателя Комиссии по осуществлению внутреннего контроля результаты тематических проверок могут быть оформлены с составлением актов проверок. Акт готовится ответственным исполнителем из состава Комиссии по осуществлению внутреннего контроля и рассматривается на заседании Комиссии по осуществлению внутреннего контроля.

Решения, принятые на заседаниях Комиссии по осуществлению внутреннего контроля, оформляются протоколом.